Единая точка входа

Единый вход ( SSO ) — это схема аутентификации, которая позволяет пользователю входить с одним идентификатором в любую из нескольких связанных, но независимых программных систем.

Настоящая система единого входа позволяет пользователю войти в систему один раз и получить доступ к службам без повторного ввода факторов аутентификации.

Его не следует путать с одним и тем же входом (аутентификация сервера каталога), часто выполняемая с использованием облегченного протокола доступа к каталогам (LDAP) и хранящихся баз данных LDAP на серверах (каталогов). ^[1]^[2]

Простая версия единого входа может быть реализована в IP-сетях с использованием файлов cookie , но только в том случае, если сайты используют общий родительский домен DNS. ^[3]

Для ясности проводится различие между проверкой подлинности сервера каталогов (один и тот же вход) и единым входом: проверка подлинности сервера каталогов относится к системам, требующим аутентификации для каждого приложения, но с использованием одних и тех же учетных данных с сервера каталогов, тогда как единый вход относится к к системам, где одна проверка подлинности обеспечивает доступ к нескольким приложениям путем беспрепятственной передачи токена аутентификации настроенным приложениям.

И наоборот, однократный выход или однократный выход ( SLO ) — это свойство, при котором одно действие выхода прекращает доступ к нескольким программным системам.

Поскольку разные приложения и ресурсы поддерживают разные механизмы аутентификации , система единого входа должна хранить внутри себя учетные данные, используемые для начальной аутентификации, и преобразовывать их в учетные данные, необходимые для различных механизмов.

Другие схемы общей аутентификации, такие как OpenID и OpenID Connect , предлагают другие службы, которые могут потребовать от пользователей делать выбор во время входа в ресурс, но могут быть настроены для единого входа, если эти другие службы (например, согласие пользователя) отключены. ^[4] Все большее число федеративных социальных входов, таких как Facebook Connect , требует от пользователя ввода согласия при первой регистрации на новом ресурсе, и поэтому не всегда является единым входом в строгом смысле этого слова.

Преимущества [ править ]

Преимущества использования единого входа включают в себя:

Снижение риска доступа к сторонним сайтам («федеративная аутентификация») ^[5] поскольку пароли пользователей не хранятся и не управляются извне
Уменьшите утомляемость паролями от различных комбинаций имени пользователя и пароля.
Сократите время, затрачиваемое на повторный ввод паролей для одного и того же удостоверения. ^[5]
Сократите расходы на ИТ за счет меньшего количества в службу ИТ-поддержки по поводу паролей. обращений ^[6]
Более простое администрирование. Задачи, связанные с единым входом, выполняются прозрачно в рамках обычного обслуживания с использованием тех же инструментов, которые используются для других задач администрирования.
Улучшение административного контроля. Вся информация по управлению сетью хранится в одном хранилище. Это означает, что существует единый авторитетный список прав и привилегий каждого пользователя. Это позволяет администратору изменять привилегии пользователя и знать, что результаты будут распространяться по всей сети.
Улучшена производительность пользователей. Пользователи больше не увязнут в необходимости многократного входа в систему, и им не нужно запоминать несколько паролей для доступа к сетевым ресурсам. Это также является преимуществом для сотрудников службы поддержки, которым приходится отправлять меньше запросов на забытые пароли.
Улучшенная сетевая безопасность. Отказ от нескольких паролей также уменьшает распространенный источник нарушений безопасности — запись пользователями своих паролей. Наконец, благодаря консолидации информации управления сетью администратор может быть уверен, что когда он отключает учетную запись пользователя, эта учетная запись отключается полностью.
Объединение разнородных сетей. Объединив разрозненные сети, можно объединить административные усилия, гарантируя последовательное соблюдение лучших административных практик и политик корпоративной безопасности.

SSO использует централизованные серверы аутентификации , которые все другие приложения и системы используют для целей аутентификации, и сочетает это с методами, гарантирующими, что пользователям не придется активно вводить свои учетные данные более одного раза.

Критика [ править ]

Термин сокращенный вход в систему (RSO) использовался некоторыми, чтобы отразить тот факт, что единый вход в систему непрактичен для удовлетворения потребностей в различных уровнях безопасного доступа на предприятии, и поэтому может потребоваться более одного сервера аутентификации. . ^[7]

Поскольку единый вход обеспечивает доступ ко многим ресурсам после первоначальной аутентификации пользователя («ключи от замка»), он увеличивает негативное воздействие в случае, если учетные данные доступны другим людям и используются неправильно. Таким образом, единый вход требует повышенного внимания к защите учетных данных пользователя и в идеале должен сочетаться с надежными методами аутентификации, такими как смарт-карты и одноразового пароля . токены ^[7]

Единый вход также увеличивает зависимость от высокодоступных систем аутентификации; потеря их доступности может привести к отказу в доступе ко всем системам, объединенным в рамках единого входа. SSO можно настроить с возможностью переключения сеанса при отказе для поддержания работы системы. ^[8] Тем не менее, риск сбоя системы может сделать единый вход нежелательным для систем, доступ к которым должен быть гарантирован в любое время, таких как системы безопасности или производственные системы.

Кроме того, использование методов единого входа с использованием служб социальных сетей , таких как Facebook, может сделать сторонние веб-сайты непригодными для использования в библиотеках, школах или на рабочих местах, которые блокируют сайты социальных сетей по соображениям производительности. Это также может вызвать трудности в странах с активными режимами цензуры , таких как Китай и его « Проект Золотой щит », где сторонний веб-сайт может не подвергаться активной цензуре, но фактически блокируется, если блокируется вход пользователя в социальную сеть. ^[9]^[10]

Безопасность [ править ]

В марте 2012 года ^[11]в исследовательской работе сообщается об обширном исследовании безопасности механизмов входа в систему через социальные сети . Авторы обнаружили 8 серьезных логических ошибок у известных поставщиков идентификаторов и веб-сайтов проверяющих сторон, таких как OpenID (включая Google ID и PayPal Access), Facebook , Janrain , Freelancer , FarmVille и Sears.com . Поскольку исследователи проинформировали поставщиков удостоверений личности и веб-сайты проверяющих сторон до публичного объявления об обнаружении уязвимостей, уязвимости были исправлены, и о нарушениях безопасности не сообщалось. ^[12]

уязвимость под названием Covert Redirect . В мае 2014 года была обнаружена ^[13] Впервые об уязвимости скрытого перенаправления, связанной с OAuth 2.0 и OpenID, сообщил ее первооткрыватель Ван Цзин, аспирант математического факультета Наньянского технологического университета в Сингапуре. ^[14]^[15]^[16] На самом деле почти все ^{[ ласковые слова ]}Затронуты протоколы единого входа. Скрытое перенаправление использует преимущества сторонних клиентов, подверженных XSS или открытому перенаправлению. ^[17]

В декабре 2020 года были обнаружены недостатки в федеративных системах аутентификации, которые использовались злоумышленниками во время утечки данных федерального правительства США в 2020 году . ^[18]^[19]

Из-за того, как работает единый вход, при отправке запроса на веб-сайт, выполнивший вход в систему, для получения токена единого входа и отправке запроса с токеном на веб-сайт, вышедший из системы, токен не может быть защищен с помощью флага cookie HttpOnly и, следовательно, может быть украден злоумышленником, если на веб-сайте, на котором выполнен выход, имеется XSS-уязвимость, с целью перехвата сеанса . Другая проблема безопасности заключается в том, что если сеанс, используемый для единого входа, украден (который можно защитить с помощью флага cookie HttpOnly в отличие от токена единого входа), злоумышленник может получить доступ ко всем веб-сайтам, использующим систему единого входа. ^[20]

Конфиденциальность [ править ]

Первоначально реализованная в Kerberos и SAML, система единого входа не давала пользователям выбора относительно публикации их личной информации на каждом новом ресурсе, который посетил пользователь. Это работало достаточно хорошо в рамках одного предприятия, например Массачусетского технологического института, где был изобретен Kerberos, или крупных корпораций, где все ресурсы были внутренними сайтами. Однако по мере распространения федеративных служб, таких как службы федерации Active Directory пользователя , личная информация рассылалась на дочерние сайты, не находящиеся под контролем предприятия, которое собирало данные от пользователя. Поскольку правила конфиденциальности в настоящее время ужесточаются в соответствии с такими законами, как GDPR , новые методы, такие как OpenID Connect, начали становиться более привлекательными; например, MIT, создатель Kerberos, теперь поддерживает OpenID Connect . ^[21]

Адрес электронной почты [ изменить ]

Теоретически единый вход может работать без раскрытия идентифицирующей информации, такой как адреса электронной почты, проверяющей стороне (потребителю учетных данных), но многие поставщики учетных данных не позволяют пользователям настраивать, какая информация передается потребителю учетных данных. С 2019 года для входа в Google и Facebook пользователи не требуют сообщать адреса электронной почты потребителю учетных данных. Функция « Вход через Apple », представленная в iOS 13, позволяет пользователю запрашивать уникальный адрес электронной почты каждый раз, когда он регистрируется в новой службе, тем самым снижая вероятность привязки учетной записи потребителем учетных данных. ^[22]

Общие конфигурации [ править ]

На основе Kerberos [ править ]

При первом входе в систему пользователю запрашивается учетные данные, и он получает Kerberos билет на выдачу билета (TGT).
Дополнительные программные приложения, требующие аутентификации, такие как почтовые клиенты , вики и системы контроля версий , используют билет выдачи билетов для получения служебных билетов, доказывая личность пользователя почтовому серверу/вики-серверу/т. д., не запрашивая пользователя повторно введите учетные данные.

Среда Windows — при входе в Windows получает TGT. Приложения, поддерживающие Active Directory , извлекают билеты служб, поэтому пользователю не предлагается пройти повторную аутентификацию.

Среда Unix / Linux . Вход через модули Kerberos PAM получает TGT. Клиентские приложения с поддержкой Kerberos, такие как Evolution , Firefox и SVN , используют служебные билеты, поэтому пользователю не предлагается пройти повторную аутентификацию.

На основе смарт-карты [ править ]

При первом входе пользователю предлагается ввести смарт-карту . Дополнительные программные приложения также используют смарт-карту, не запрашивая у пользователя повторного ввода учетных данных. Для единого входа на основе смарт-карты можно использовать сертификаты или пароли, хранящиеся на смарт-карте.

Встроенная аутентификация Windows [ править ]

Встроенная проверка подлинности Windows — это термин, связанный с Microsoft продуктами , который относится к протоколам проверки подлинности SPNEGO , Kerberos и NTLMSSP в отношении функциональности SSPI, представленной в Microsoft Windows 2000 и включенной в более поздние Windows NT операционные системы на базе . Этот термин чаще всего используется для обозначения автоматически аутентифицированных соединений между Microsoft Internet Information Services и Internet Explorer . Поставщики кросс-платформенной интеграции Active Directory расширили парадигму встроенной проверки подлинности Windows на системы Unix (включая Mac) и Linux.

утверждений безопасности Язык разметки

Язык разметки утверждений безопасности (SAML) — это основанный на XML метод обмена информацией о безопасности пользователя между поставщиком удостоверений SAML и поставщиком услуг SAML . SAML 2.0 поддерживает шифрование XML W3C и обмен данными с единым входом в систему, инициируемый поставщиком услуг. ^[23]Пользователь, использующий пользовательский агент (обычно веб-браузер), называется субъектом в системе единого входа на основе SAML. Пользователь запрашивает веб-ресурс, защищенный поставщиком услуг SAML. Поставщик услуг, желая узнать личность пользователя, отправляет запрос аутентификации провайдеру идентификации SAML через пользовательский агент. Поставщик удостоверений — это тот, кто предоставляет учетные данные пользователя. Поставщик услуг доверяет пользовательской информации от поставщика удостоверений для предоставления доступа к своим услугам или ресурсам.

Новые конфигурации [ править ]

Мобильные устройства в качестве учетных для данных доступа

Был разработан новый вариант аутентификации с единым входом с использованием мобильных устройств в качестве учетных данных для доступа. Мобильные устройства пользователей могут использоваться для автоматической регистрации их в нескольких системах, таких как системы контроля доступа к зданиям и компьютерные системы, посредством использования методов аутентификации, которые включают OpenID Connect и SAML. ^[24] в сочетании с сертификатом X.509 ITU-T, криптографическим используемым для идентификации мобильного устройства на сервере доступа.

Мобильное устройство — это «то, что у вас есть», в отличие от пароля, который является «чем-то, что вы знаете», или биометрических данных (отпечатков пальцев, сканирования сетчатки, распознавания лиц и т. д.), которые являются «чем-то, чем вы являетесь». Эксперты по безопасности рекомендуют использовать как минимум два из этих трех факторов ( многофакторная аутентификация ) для лучшей защиты.

См. также [ править ]

Ссылки [ править ]

^ «В чем разница между SSO (единый вход) и LDAP?» . Джампклауд . 14 мая 2019 г. Проверено 27 октября 2020 г.
^ «SSO и аутентификация LDAP» . Authenticationworld.com. Архивировано из оригинала 23 мая 2014 г. Проверено 23 мая 2014 г.
^ «OpenID против сервера единого входа» . предполагаемый.org.uk. 13 августа 2007 г. Проверено 23 мая 2014 г.
^ «Поставщик OpenID Connect — система единого входа OpenID Connect (SSO) — аутентификация OIDC OAuth» . Один вход .
^ Перейти обратно: ^а ^б «Единый вход и федеративная аутентификация» . kb.iu.edu .
^ «Преимущества SSO» . Университет Гвельфа . Проверено 23 мая 2014 г.
^ Перейти обратно: ^а ^б «Аутентификация с использованием единого входа» . Authenticationworld.com. Архивировано из оригинала 15 марта 2014 г. Проверено 28 мая 2013 г.
^ «Руководство по администрированию высокой доступности Sun GlassFish Enterprise Server v2.1.1» . Oracle.com . Проверено 28 мая 2013 г.
^ Лоуренсон, Лидия (3 мая 2014 г.). «Эффект цензуры» . ТехКранч . Архивировано из оригинала 7 августа 2020 года . Проверено 27 февраля 2015 г.
^ Честер, Кен (12 августа 2013 г.). «Цензура, внешняя аутентификация и другие уроки социальных сетей из Великого китайского файрвола» . Технологии в Азии . Архивировано из оригинала 26 марта 2014 года . Проверено 9 марта 2016 г.
^ Ван, Руи; Чен, Шуо; Ван, СяоФэн (2012). «Подписание меня в свои учетные записи через Facebook и Google: исследование безопасности коммерческих веб-служб единого входа с учетом трафика» . Симпозиум IEEE 2012 по безопасности и конфиденциальности . стр. 365–379. дои : 10.1109/SP.2012.30 . ISBN 978-1-4673-1244-8 . S2CID 1679661 .
^ «OpenID: отчет об уязвимостях, путаница в данных» - OpenID Foundation, 14 марта 2012 г.
^ «Пользователям Facebook и Google угрожает новый недостаток безопасности» . Путеводитель Тома. 2 мая 2014 года . Проверено 11 ноября 2014 г.
^ «Уязвимость скрытого перенаправления, связанная с OAuth 2.0 и OpenID» . Тетраф. 1 мая 2014 года . Проверено 10 ноября 2014 г.
^ «Студент-математик обнаружил уязвимость безопасности OAuth, OpenID» . Техэксплор. 3 мая 2014 года . Проверено 10 ноября 2014 г.
^ «Пользователям Facebook и Google угрожает новый недостаток безопасности» . Яху. 2 мая 2014 года . Проверено 10 ноября 2014 г.
^ «Недостаток скрытого перенаправления в OAuth — это не следующая проблема» . Симантек. 3 мая 2014 года . Проверено 10 ноября 2014 г.
^ «Недостаток VMware — вектор нарушения целостности SolarWinds? — Кребс о безопасности» . 19 декабря 2020 г.
^ Ковач, Эдуард (15 декабря 2020 г.). «Группа, стоящая за взломом SolarWinds, обошла MFA для доступа к электронной почте аналитического центра США» . Неделя безопасности . Проверено 19 декабря 2020 г.
^ «Что такое перехват сеанса?» . 22 августа 2019 г.
^ MIT IST. «Авторизация OpenID Connect» .
^ Гуд, Лорен (15 июня 2019 г.). «Создатели приложений неоднозначно относятся к вопросу «Войти через Apple» » . Проводной . ISSN 1059-1028 . Проверено 15 июня 2019 г.
^ Армандо, Алессандро; Карбоне, Роберто; Компаньа, Лука; Куэльяр, Хорхе; Пеллегрино, Джанкарло; Сорниотти, Алессандро (01 марта 2013 г.). «Дефект аутентификации в протоколах единого входа на основе браузера: влияние и способы устранения» . Компьютеры и безопасность . 33 : 41–58. дои : 10.1016/j.cose.2012.08.007 .
^ «Офис будущего MicroStrategy включает в себя мобильную идентификацию и кибербезопасность» . Вашингтон Пост . 14 апреля 2014 г. Проверено 30 марта 2014 г.

Внешние ссылки [ править ]

Введение в систему единого входа с диаграммами

[1] «В чем разница между SSO (единый вход) и LDAP?» . Джампклауд . 14 мая 2019 г. Проверено 27 октября 2020 г.

[2] «SSO и аутентификация LDAP» . Authenticationworld.com. Архивировано из оригинала 23 мая 2014 г. Проверено 23 мая 2014 г.

[3] «OpenID против сервера единого входа» . предполагаемый.org.uk. 13 августа 2007 г. Проверено 23 мая 2014 г.

[4] «Поставщик OpenID Connect — система единого входа OpenID Connect (SSO) — аутентификация OIDC OAuth» . Один вход .

[iukb-5] Перейти обратно: ^а ^б «Единый вход и федеративная аутентификация» . kb.iu.edu .

[6] «Преимущества SSO» . Университет Гвельфа . Проверено 23 мая 2014 г.

[authenticationworld-7] Перейти обратно: ^а ^б «Аутентификация с использованием единого входа» . Authenticationworld.com. Архивировано из оригинала 15 марта 2014 г. Проверено 28 мая 2013 г.

[8] «Руководство по администрированию высокой доступности Sun GlassFish Enterprise Server v2.1.1» . Oracle.com . Проверено 28 мая 2013 г.

[9] Лоуренсон, Лидия (3 мая 2014 г.). «Эффект цензуры» . ТехКранч . Архивировано из оригинала 7 августа 2020 года . Проверено 27 февраля 2015 г.

[10] Честер, Кен (12 августа 2013 г.). «Цензура, внешняя аутентификация и другие уроки социальных сетей из Великого китайского файрвола» . Технологии в Азии . Архивировано из оригинала 26 марта 2014 года . Проверено 9 марта 2016 г.

[11] Ван, Руи; Чен, Шуо; Ван, СяоФэн (2012). «Подписание меня в свои учетные записи через Facebook и Google: исследование безопасности коммерческих веб-служб единого входа с учетом трафика» . Симпозиум IEEE 2012 по безопасности и конфиденциальности . стр. 365–379. дои : 10.1109/SP.2012.30 . ISBN 978-1-4673-1244-8 . S2CID 1679661 .

[12] «OpenID: отчет об уязвимостях, путаница в данных» - OpenID Foundation, 14 марта 2012 г.

[TomsGuid-13] «Пользователям Facebook и Google угрожает новый недостаток безопасности» . Путеводитель Тома. 2 мая 2014 года . Проверено 11 ноября 2014 г.

[Covert_Redirect_OAuth_OpenID-14] «Уязвимость скрытого перенаправления, связанная с OAuth 2.0 и OpenID» . Тетраф. 1 мая 2014 года . Проверено 10 ноября 2014 г.

[TechXplore-15] «Студент-математик обнаружил уязвимость безопасности OAuth, OpenID» . Техэксплор. 3 мая 2014 года . Проверено 10 ноября 2014 г.

[Yahoo_Report-16] «Пользователям Facebook и Google угрожает новый недостаток безопасности» . Яху. 2 мая 2014 года . Проверено 10 ноября 2014 г.

[Symantec-17] «Недостаток скрытого перенаправления в OAuth — это не следующая проблема» . Симантек. 3 мая 2014 года . Проверено 10 ноября 2014 г.

[18] «Недостаток VMware — вектор нарушения целостности SolarWinds? — Кребс о безопасности» . 19 декабря 2020 г.

[19] Ковач, Эдуард (15 декабря 2020 г.). «Группа, стоящая за взломом SolarWinds, обошла MFA для доступа к электронной почте аналитического центра США» . Неделя безопасности . Проверено 19 декабря 2020 г.

[20] «Что такое перехват сеанса?» . 22 августа 2019 г.

[21] MIT IST. «Авторизация OpenID Connect» .

[22] Гуд, Лорен (15 июня 2019 г.). «Создатели приложений неоднозначно относятся к вопросу «Войти через Apple» » . Проводной . ISSN 1059-1028 . Проверено 15 июня 2019 г.

[23] Армандо, Алессандро; Карбоне, Роберто; Компаньа, Лука; Куэльяр, Хорхе; Пеллегрино, Джанкарло; Сорниотти, Алессандро (01 марта 2013 г.). «Дефект аутентификации в протоколах единого входа на основе браузера: влияние и способы устранения» . Компьютеры и безопасность . 33 : 41–58. дои : 10.1016/j.cose.2012.08.007 .

[24] «Офис будущего MicroStrategy включает в себя мобильную идентификацию и кибербезопасность» . Вашингтон Пост . 14 апреля 2014 г. Проверено 30 марта 2014 г.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]

[18]

[19]

[20]

[21]

[22]

[23]

[24]